Dokumentacja ochrony danych osobowych w firmie, obowiązek ustawowy

Infoabi.pl, 29-03-2010, 13:58, Komentarzy: 0

Prowadzenie dokumentacji ochrony danych osobowych w firmie to obowiązek prawny określony w art. 36.2 ustawy z dnia 29 sierpnia 1997 r. o ochronie danych osobowych (Dz.U. 1997 Nr 133 poz. 883), niezależny od formy prawnej czy własnościowej firmy.

Problem mnie nie dotyczy, ja nie przetwarzam danych osobowych!

kłódka„Moja firma tylko produkuje towary i czasem świadczy usługi innym firmom i nie ma do czynienia z żadnymi danymi osobowymi, mnie ten problem nie dotyczy!” Tak najczęściej uspokajamy się, słysząc o aferach związanych z niewłaściwym przetwarzaniem danych osobowych. Czy jednak nie jest to tylko pozorny spokój? Czy znamy na tyle prawo, aby mieć pewność, że problem rzeczywiście nas nie dotyczy? Tymczasem, zatrudniając pracowników, bez względu na ich liczbę, podlegamy obowiązkowi właściwego przetwarzania ich danych osobowych. Idąc dalej, należy stwierdzić, że każda firma, która zatrudnia co najmniej jednego pracownika, powinna posiadać dokumentację, w której znajdują się zasady przetwarzania danych osobowych chociażby tylko tego pracownika oraz zastosowane środki bezpieczeństwa. W zdecydowanej większości firm, które nie świadczą usług czy też nie sprzedają towarów osobom fizycznym, a co się z tym wiąże, nie posiadają baz danych o charakterze osobowym wykorzystywanych w celach zarobkowych, problem ochrony danych osobowych będzie zamknięty w granicach przedsiębiorstwa i związany tylko z jego pracownikami. Z punktu widzenia prawa nie ma żadnego znaczenia, czyje dane przetwarzamy – pracowników czy kontrahentów. W każdym przypadku musimy posiadać dokumentację przetwarzania tych danych.

Zbędna biurokracja, kto mnie sprawdzi!

stos papierówCzęsto również skarżymy się na zbędną biurokrację, uważając, że zamiast rozwijać przedsiębiorstwa, marnujemy czas na zbędne formalności, że ustawa goni ustawę, a obowiązek – obowiązek. Tam, gdzie liczymy się z kontrolą, tam podejmujemy wysiłki, aby sprostać prawu, tam zaś, gdzie nie ma kontroli, uważamy, że mamy do czynienia z martwym prawem. I tak właśnie najczęściej postrzegamy problem ochrony danych osobowych w firmach. „Po co zawracać sobie głowę, skoro tyle lat firma działa i nic się nie stało? Dokumentacja, zasady bezpieczeństwa to tylko zbędna biurokracja!” Tak tłumaczymy się, oddalając w nieskończoność rozwiązanie tego problemu w naszej firmie. A przecież zapinamy pasy bezpieczeństwa w samochodzie, mimo że większości z nas nigdy się nie przydały. Tymczasem kontrole posiadania dokumentacji ochrony danych osobowych w firmie prowadzą w myśl art. 14 ustawy o ochronie danych osobowych pracownicy Biura Generalnego Inspektora Ochrony Danych Osobowych (GIODO) zwani „Inspektorami” nie tylko z urzędu, ale również na wniosek poszkodowanych. Wystarczy zatem złośliwość pracownika czy kontrahenta, który poinformuje GIODO o ewentualnych nieprawidłowościach, aby firma została objęta kompleksową kontrolą. Nie bez znaczenia jest fakt, iż brak dokumentacji może skutkować sankcjami karnymi określonymi w art. 52 ustawy, m.in. karą grzywny czy nawet pozbawieniem wolności do roku. Warto zatem zapoznać się z obowiązkami prawnymi i zweryfikować swoje działania, gdyż w myśl przysłowia „strach ma wielkie oczy” problem jest w naszym niedoinformowaniu czy niewiedzy, a nie w rzeczywistych barierach organizacyjnych, technicznych czy finansowych. Uporządkowanie spraw związanych z przetwarzaniem danych osobowych w firmie, poprzez wykonanie i wdrożenie dokumentacji, pozwoli spojrzeć normalnie na dotychczasowy problem, tak jak na każdą inną płaszczyznę działalności firmy.

Pigułka prawna

młotek i książkiDokumentacja ochrony danych osobowych – obowiązek wynikający z art. 36.2 ustawy z dnia 29 sierpnia 1997 r. o ochronie danych osobowych (Dz.U. 1997 Nr 133 poz. 883), niezależny od formy prawnej czy własnościowej firmy.

Sposób prowadzenia i zakres dokumentacji – określa w szczegółach Rozporządzenie Ministra Spraw Wewnętrznych i Administracji z dnia 29 kwietnia 2004 r. w sprawie dokumentacji przetwarzania danych osobowych oraz warunków technicznych i organizacyjnych, jakim powinny odpowiadać urządzenia i systemy informatyczne służące do przetwarzania danych osobowych (Dz. U. z 2004 r. Nr 100, poz. 1024), wydane do art. 39a ustawy.

Administrator bezpieczeństwa informacji (ABI) – osoba nadzorująca bezpieczeństwo przetwarzania danych w firmie, będąca prawą ręką Administratora danych, czyli szefa firmy. Powołanie odbywa się w oparciu o art. 36.3 wskazanej wcześniej ustawy o ochronie danych osobowych.

Upoważnienia do przetwarzania danych osobowych dla pracowników – obowiązek posiadania upoważnień dla osób przetwarzających dane osobowe określony jest w art. 37 przedmiotowej ustawy. Upoważnienia muszą być odrębnym dokumentem, a nie tylko dopiskiem do zakresu czynności, w którym określamy ramy czasowe upoważnienia, zakres danych, a także - jeśli dane przetwarzane są przy użyciu narzędzi informatycznych - identyfikatory dostępu do tych systemów.

Ewidencja osób upoważnionych do przetwarzania danych osobowych – konieczność prowadzenia ewidencji osób, którym wydano upoważnienie wynika z art. 39 przedmiotowej ustawy.

 

Poradę dla Czytelników Dziennika Internautów przygotowała firma Infoabi.pl

Warto przeczytać:

Komentuj na Facebooku

Komentarze:

comments powered by Disqus
To warto przeczytać








RSS - Wywiad
Wywiad  
RSS - Interwencje
RSS - Porady
Porady  
RSS - Listy
Listy  
Serwisy specjalne:
Wydarzenia:
Jak czytać DI?
Newsletter

Podaj teraz tylko e-mail!



RSS
Copyright © 1998-2014 by Dziennik Internautów Sp. z o.o. (GRUPA INFOR PL) Wszelkie prawa zastrzeżone.